НОВИНИ
Предупреждение за възможни ирански кибератаки!
Card image cap

В своя WEB публикация CISA (Cybersecurity and Infrastructure Security Agency) предупреждава за нарастване на зловредната активност на Иранските хакери. В публикацията CISA предоставя информация, как да се противодейства на Иранските заплахи в Интернет:

Препоръчителни действия

За намаляване кибер уязвимостите на комуникационните и информационни системи се препоръчват следните действия:

  • Да се инсталират на всички активни мрежови устройства, сървъри и персонални компютри най-новите обновления в сигурността. С приоритет трябва да бъдат инсталирани тези, които са критични и защитават от по-големи уязвимости;
  • Ограничаване използването на PowerShell само за потребители и акаунти, които се нуждаят от него. Регистриране на всички изпълнени PowerShell команди в log файлове;
  • Създаване на редовни архиви на сървъри и мрежови ресурси и съхраняването им на защитено място, което да не може да се достъпи от Интернет;
  • Повишаване бдителността на всички потребители за необичайно поведение (на компютърната им системи, на софтуерните програми които използват и на мобилните им устройства).

Общоизвестни ирански хакерски атаки

В таблицата по-долу са представени общоизвестни подходи използвани от Иранските хакери и как да им се противодейства:

Ирански пътища за атака Противодействие
Кражба на автентикация Защитете репликацията на домейн контролера. Налагане на надеждни политика за паролите.
Обфускиране на файлове или на информация Използване на Antimalware Scan Interface в операционните системи на компютрите с цел анализиране на изпълнението на различни команди подавани от приложенията.
Компресиране на данни Използване на подходящ софтуер за защита на данни с цел да се блокира конкретни типове файлове да напускат мрежата по не криптирани канали.
PowerShell Ограничаване използването на PowerShell скриптове само от администратори. Въвеждане на политика за изпълнение само на подписани PowerShell скриптове.
Изпълнение на зловреден код от потребители Използване на подходящ софтуер за защита, който да ограничи типа на файловете, които да бъдат изтегляни и изпълнявани. Контрол на връзките, използвани от потребителите при сърфирането им в Интернет. Обучение на потребителите.
Изпълнение на зловредни скриптове Включване на Protected View и забрана на изпълнението на макроси при работа с Office файлове. Забрана използването на PowerShell, на компютри където не е необходим.
Използване на ключове в регистрите и папката Startup за стартиране на програми Този тип атаки не могат да бъдат предотвратени с превантивни действия, тъй като се основават на злоупотреба със системните функции. Използване на инструменти като Sysinternals Autorun могат да бъдат използвани за откриване на промени в регистрите и папките за стартиране на програми.
Отдалечено копиране на файлове Използване на системи за откриване и предпазване от заплахи IDPS, които да контролират и следят мрежовия трафик за зловреден софтуер или за необичаен трансфер на данни.
Фишинг връзки Ограничаване на сайтовете до които потребителите имат достъп на базата на критерии за необходимост и сигурност. Обучение на потребителите.
Прикачен фишинг файл Използване на антивирусна програма и IDPS системи. Блокиране на изпълними прикачени файлове. Обучение на потребителите.

Полезни връзки

CERT България